江苏阿里企业邮箱-权限策略判定流程

  当RAM身份（RAM用户或RAM角色）通过阿里云控制台、API或CLI发起资源访问请求时，都需要执行权限策略的判定流程，根据判定结果决定是否允许访问。本文为您介绍阿里云的权限策略判定流程。

概述

  阿里云支持多种类型的权限策略。一次完整的权限策略判定流程包含以下步骤：

1.判定程序收集访问请求涉及的所有类型的权限策略，包括：资源目录的管控策略（Control Policy）、RAM角色的会话策略（Session Policy）、基于身份的策略（Identity-based Policy）和基于资源的策略（Resource-based Policy）。

2.判定程序会按照最小单元判定流程依次对每一种权限策略执行判定，根据判定结果决定是否继续进行下一步判定，直到判定结束并获得最终的判定结果。

最小单元判定流程

  最小单元判定流程如下：

1.权限判定遵循Deny优先原则，优先检查访问请求是否命中Deny语句。

  是：判定结束，返回判定结果为Explicit Deny（显式拒绝）。

  否：继续下一步判定。

2.检查访问请求是否命中Allow语句。

  是：判定结束，返回判定结果为Allow（允许）。

  否：判定结束，返回判定结果为Implicit Deny（隐式拒绝）。

完整判定流程

   完整判定流程如下：

1.管控策略判定

管控策略（Control Policy）是资源目录中对成员访问定义的权限边界。如果请求访问的资源所属账号是资源目录的成员，并且管控策略已开启，判定程序会按照最小单元判定流程执行管控策略判定。否则，判定程序会跳过此步。根据管控策略的判定结果，作出下一步判定。具体如下：

  管控策略的判定结果是Explicit Deny（显式拒绝）或Implicit Deny（隐式拒绝）：判定结束，管控策略的判定结果就是最终的判定结果。

  管控策略的判定结果是Allow（允许）：继续进行下一步判定。

2.会话策略判定

会话策略（Session Policy）是在以编程方式扮演RAM角色（调用AssumeRole API）的过程中创建临时会话时，在参数中传递的策略，用于进一步限制会话的权限。如果发起访问请求的身份是RAM角色，并且拥有会话策略，判定程序会按照最小单元判定流程执行会话策略判定。否则，判定程序会跳过此步。

根据会话策略的判定结果，作出下一步判定。具体如下：

  会话策略的判定结果是Explicit Deny（显式拒绝）或Implicit Deny（隐式拒绝）：判定结束，会话策略的判定结果就是最终的判定结果。

  会话策略的判定结果是Allow（允许）：继续进行下一步判定。

3.基于身份的策略判定和基于资源的策略判定

同时进行基于身份的策略（Identity-based Policy）判定和基于资源的策略（Resource-based Policy）判定，并将两者的判定结果缓存。

 基于身份的策略判定

对于RAM用户，基于身份的策略包括直接授权的策略和从RAM用户组中继承的策略。对于RAM角色，基于身份的策略为直接授权的策略。基于身份的策略因授权范围不同，又分为账号级别和资源组级别，账号级别的策略优先级高于资源组级别的策略。

判定流程如下：

  检查发起访问请求的RAM身份是否拥有账号级别的基于身份的策略。

   是：判定程序按照最小单元判定流程执行账号级别的身份策略判定。判定结果说明如下：

    如果判定结果是Explicit Deny（显式拒绝）或Allow（允许）：基于身份策略的判定结束，将结果缓存到判定结果A。

    如果判定结果是Implicit Deny（隐式拒绝）：继续进行下一步判定。

  检查发起访问请求的RAM身份是否拥有资源组级别的基于身份的策略。

   是：判定程序按照最小单元判定流程执行资源组级别的身份策略判定，并将结果缓存到判定结果A。

   否：直接保存判定结果A为Implicit Deny（隐式拒绝）。

 基于资源的策略判定

 检查请求访问的资源是否拥有基于资源的策略。 

  是：判定程序按照最小单元判定流程执行基于资源的策略判定，并将结果缓存到判定结果B。

  否：直接保存判定结果B为Implicit Deny（隐式拒绝）。

 4.合并判定结果

  将基于身份策略的判定结果A和基于资源策略的判定结果B进行合并。合并逻辑如下：

   如果判定结果A和判定结果B中存在任意一个Explicit Deny（显式拒绝）：合并后的最终判定结果为Explicit Deny（显式拒绝），判定结束。

   如果判定结果A和判定结果B中存在任意一个Allow（允许）：合并后的最终判定结果为Allow（允许），判定结束。

   如果判定结果A和B中既无Explicit Deny（显式拒绝）也无Allow（允许）：合并后的最终判定结果为Implicit Deny（隐式拒绝），判定结束。

如果最终判定结果是Allow（允许），访问会被允许。不管最终判定结果是Explicit Deny（显式拒绝）还是Implicit Deny（隐式拒绝），访问均会被拒绝。